Die NSA ist einfach auszubremsen: Deutschland und Europa müssten nur endlich ihre Kommunikation effizient verschlüsseln. Es war eine sehr politische Botschaft, die drei IT-Experten am Donnerstag den Abgeordneten des NSA-Untersuchungsausschusses überbrachten. Frank Rieger vom Chaos Computer Club (CCC), der von der Opposition in den Ausschuss geladen wurde, formulierte diese als Kampfansage an den amerikanischen Geheimdienst: "Man könnte es schaffen, die NSA totzurüsten", sagte er. Das einzige, was es dazu brauche, sei sogenannte Ende-zu-Ende-Verschlüsselung. Die von den Regierungsparteien geladenen Sachverständigen, der Berliner Cyberwar-Experte Sandro Gaycken und Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt, stimmten ihrem Kollegen zu. 

Verschlüsselten möglichst alle Nutzer ihre Nachrichten technisch so, dass nur der Empfänger sie lesen kann, würde "es anstrengend" für die NSA, sagte Gaycken. Zumindest könnte damit der Preis für die Überwachung so hoch getrieben werden, dass sie nicht mehr flächendeckend eingesetzt werden kann. Allerdings müssten Politik und Unternehmen dafür endlich geeignete Voraussetzungen schaffen – und eben nicht nur an den überforderten Bürger appellieren. Zum Beispiel durch sichere Mail-Dienste oder gesetzliche Vorschriften für Verschlüsselung in Clouds und anderen Kommunikationsangeboten.

Bislang jedoch hat sich die Bundesregierung dieser Forderung nach Ende-zu-Ende-Verschlüsselung stets verweigert. Sichtbar wurde das zuletzt bei der sogenannten DE-Mail. Dieser bewusst als sicher angepriesene Behörden-E-Mail-Dienst bietet eben keine solche vollständige Verschlüsselung. Die Vermutung dazu lautet: Damit BND und Verfassungsschutz die Mails der Bürger lesen können.

Wie die Experten bemängelten, hapert es außerdem oft an der Nutzerfreundlichkeit von Verschlüsselungstechniken. Die Software stürze oft ab und erscheine vielen kompliziert.

Verseuchte Software

In der mehr als vierstündigen Anhörung vor dem Untersuchungsausschuss skizzierten die drei Experten die vielen weiteren Probleme der aktuellen IT-Architektur. CCC-Mitglied Rieger betonte, er gehe davon aus, dass viele Computer und Programme bewusst "verseucht" seien, also mögliche Einfallstore für Überwachungsprogramme einprogrammiert hätten. Bei Internetfirmen eingeschleuste Geheimdienstler bauten also kleine Fehler in die Software ein.

Auch aus diesem Grund regte Experte Gaycken an, künftig Software unter viel sichereren Bedingungen zu produzieren – mit vorgeschalteten Sicherheitsüberprüfungen von Mitarbeitern "ähnlich wie in der Rüstungsindustrie". Sichere Computer, die Datenschutz garantierten, Gütesiegel für IT-Sicherheit – die Experten sind sich einig, dass es schon jetzt einen Markt dafür gibt. Im besten Fall setze sich Europa als Konsequenz der NSA-Affäre an die Speerspitze dieser Verschlüsselungsbewegung.

Alle Sachverständigen räumten aber ein, dass ein "Aufmotzen" der IT-Sicherheitsarchitektur teuer werden könnte. Der Vorsitzende des NSA-Ausschusses, Patrick Sensburg (CDU), jedenfalls gab sich beeindruckt von der "volkswirtschaftlichen Dimension", die diese Vorschläge haben könnten, wie er sagte.

Doch bis dahin ist es noch ein langer Weg. Laut den Sachverständigen hat auch die NSA-Affäre bisher viele nicht zum Umdenken gebracht. So gebe es zahlreiche Unternehmen, die keine eigene Firewall hätten und so die Tore offen ließen für Industriespione. Erst diese Woche wurde bekannt, dass ausgerechnet ein Teil der Internetverbindung des Bundestages über einen amerikanischen Provider lief, der eng mit der NSA kooperierte. 

"Wir liefern Metadaten frei Haus"

Die deutsche E-Mail- und Mobilfunkkommunikation wird zudem nach wie vor über Datenknotenpunkte und Server in den USA oder Israel geleitet, wie CCC-Experte Rieger betonte. Einfach, weil dies so lange so viel billiger gewesen sei. "Wir liefern Metadaten frei Haus", sagte der IT-Experte. Selbst wenn Telekommunikationsunternehmen und Geheimdienste sich gar nicht die Inhalte der Kommunikation anschauten: Schon von der Kombination bestimmter Variablen, wie der Anzahl der Anrufe an eine bestimmte Nummer oder der Uhrzeiten und Zahl abgeschickter E-Mails kann man eine Menge über die sozialen Kontakte und das Umfeld eines Einzelnen erfahren.

Eine Lösung könnte nach Ansicht der Experten der Aufbau eines sogenannten Schengen-Routings sein. Dabei sollen europäische Daten nur noch in europäischen Clouds und auf europäischen Servern gespeichert werden – um die gemeinsamen Datenschutzstandards nicht zu unterlaufen. Doch auch das wäre sehr teuer, so die Experten.

Noch jede Schutzmaßnahme wird torpediert, wenn die, die über Daten verfügen, mit den Sicherheitsbehörden kooperieren. Gaycken nannte an dieser Stelle Unternehmen wie Facebook, Twitter oder Instagram. Diese beteuern zwar, nur "fallbezogen", also bei konkretem Verdacht, mit den Geheimdiensten zusammenzuarbeiten, das glaubt ihnen aber der Berliner Cyberwar-Experte nicht. Der NSA-Ausschuss hat auch deswegen die Chefs der Konzerne als Zeugen geladen.

Das G-10-Gesetz ist veraltet

Auch der Ringtausch von Informationen befreundeter Geheimdienste kommt hier ins Spiel. Der Bundesnachrichtendienst (BND) leitete dem amerikanischen Dienst in der Vergangenheit bereits freiwillig viele Daten weiter. Wie Süddeutsche Zeitung, NDR und WDR am Mittwoch enthüllten, war dies auch einige Zeit lang am Internetknotenpunkt in Frankfurt am Main der Fall. Auf welcher Rechtsgrundlage das geschah, ist unklar.

Der BND jedenfalls darf laut G-10-Gesetz nur bis zu 20 Prozent der Internetkommunikation zwischen Deutschland und dem Ausland abfangen. Es ist eine rechtliche Regel, die aus der Zeit gefallen scheint. Inzwischen läuft diese Kommunikation durch hunderte Glasfaserkabel im Ozean – wie genau kann der BND sichergehen, nur 20 Prozent abzuschöpfen und dabei auch noch die richtige Kommunikation zu finden?

Auch diese Frage war am Donnerstag im Ausschuss Thema. Erneut waren sich die drei Experten einig, dass diese Regelung ein Witz ist. Nach ihrer Aussage bedeutet sie keine effektive Beschränkung. Würden Pornografie und Spam aus der Gesamtheit des Internetverkehrs gefiltert, entsprächen die restlichen Inhalte diesen 20 Prozent, sagte Rieger. Damit würden aber 100 Prozent der Kommunikation überwacht, was diese Regel eigentlich verhindern soll.

Selbst die für die Kontrolle der Überwachung zuständige G-10-Kommission im Bundestag zweifelt inzwischen am Sinn dieser Regelung. Der stellvertretende Vorsitzende, Bertold Huber, sagte unlängst in einem Interview, er sei sich nicht sicher, ob das Gesetz angesichts der technischen Entwicklung noch angemessen sei.

Innerdeutsche Kommunikation darf der BND nicht anschauen, so will es das G-10-Gesetz. Doch was ist ein geeigneter Filtermechanismus? Eine E-Mail-Adresse, die auf .de endet? "Man kann in einer globalen Welt nicht sagen, welche Daten einem Deutschen gehören und welche einem Amerikaner", sagt Technikexperte Waidner. 

Der SPD-Obmann im NSA-Ausschuss, Christian Flisek, wirkte durchaus beeindruckt. "Wir müssen die Rechtsgrundlagen unserer Dienste einer umfassenden Regulierung unterziehen", sagte er nach der Sitzung.